超越PC領域的資訊安全市場趨勢
- 楊迺仁
-
隨著全球企業走出金融海嘯的陰霾,資訊科技(IT)投資也漸漸步入正軌,但根據分析機構Gartner的預測,2010年全球資訊科技市場規模將達2.4兆美元,相較於2009年的2.3兆美元,年增率2.9%;雖與2009年衰退5.9%相比,顯然好上許多,但步調仍然緩慢,而且主要的成長動力仍來自政府部門或公共事業。
相較於整體IT支出,資訊安全領域的表現就顯得相當活絡。根據Gartner的預測,2010年全球資訊安全軟體市場的營收可望達到165億美元,較2009年的148億美元成長11.3%。事實上,即使在2009年企業IT投資普遍衰退的情況下,該年度的企業資訊安全投資年成長仍有7%,不但顯示資訊安全的重要性,更印證了資安威脅的不斷演進,讓企業即使在資金調度壓力下,也不能予以忽視。
應用環境更複雜 資安風險挑戰嚴峻
根據資策會MIC預估,全球資安市場將會持續成長,從2007年的120億美元,到2013年成長至205億美元,2000至2012年的年複合成長率(CAGR)達14%,與Gartner的預估非常接近。
資安市場規模近年來會持續成長,一方面是因為資訊應用環境愈來愈複雜,由於一般使用者對網際網路服務的依賴度日增,又比較缺乏資訊安全意識,導致以盜取個資為目的惡意軟體四處肆虐,但也因此讓安全與弱點管理的產品年複合成長率最高,網路安全的市場規模也最大,因為相較於個人,企業更擔心資料遺失或遭竊,不僅會造成實質財務的損失,更可能面臨品牌商譽的折損,以及法律糾紛,因此在建置軟硬體後,往往會有更大的意願在安全性的確認與針對弱點方面進行補救。
其次則是因為各行各業都在法規面要求企業必須對資訊安全負起更大的責任。如在醫療產業方面,1996年HIPAA法案規範醫療資訊之安全性與機密性,並須符合個人需求;在財務金融產業方面,2002年SO X法案確保財務資訊之正確性與可靠性,和2008年PCI DSS規範信用卡產業資訊安全標準,都已成為各大信用卡品牌通用的安全標準;而在資訊產業方面,2003年FISM A法案,更規範在支援機構操作和資產的資訊系統,必須提供資訊安全。
而在台灣,由於個人資料保護法也將在2011年針對企業在防止資料外洩的責任上,有更嚴格的要求,勢必會觸發企業大舉投資資訊安全與資料外洩防護系統的建置,業界預估,未來5年台灣的資安產業都將保持顯著成長,甚至有大型外商資安業者私下透露,個資法一旦生效且有首個賠償案例出爐,帶動的生意可能是目前人力配置根本無法滿足的規模。
而企業透過網際網路提供公開服務的比例日漸提高,也讓風險威脅隨之增加,如Yahoo!奇摩、CNN、Am azon、eBay等網站在2000年就遭到DDoS攻擊而癱瘓,事實上,流量高的合法網站,更是惡意軟體鎖定的攻擊目標。而雲端服務由於能減少建置軟硬體與人力的成本、提供雲端儲存服務、並能讓企業可在短時間內使用,故促使企業開始不斷增加對雲端服務的投資,但衍生的資安責任、資料外洩等問題,也變得更加嚴重。
事實上,台灣大型企業採用雲端服務的意願,整體而言仍有成長空間。如2010年採用雲端服務的比例,大型企業超過5成抱持觀望態度、近4成不考慮採用,已採用僅佔1.1%,其中影響採用雲端服務意願的主因,就是雲端服務的資訊安全問題、執行效能不足與難以和內部IT進行整合。
但如同Gartner在香港的資訊安全產業資深研究分析師張毅表示,採用軟體即服務(SaaS)模式的產品,有機會較傳統的軟體授權模式有更佳市場表現,而各國的法規遵循政策則可望帶動在用戶條款、安全資訊與事件管理(SIEM)及行動資料防護等領域的成長,可望帶動針對雲端服務的資安解決方案日臻成熟。
智慧型手持裝置的快速成長,也成為資訊安全的一大挑戰,如2009年Nokia手機漏洞影響簡訊功能、Android軟體出現木馬病毒等,加上手持裝置上的資訊,如通訊錄、照片等,要比PC上的資料更為集中而敏感,而線上應用程式商店日漸普及,更讓惡意軟體開發者有更多散布的機會,手機遺失所導致的資安問題更加嚴重,也讓手機資安勢必將成為未來的重要課題。
防毒軟體仍是大宗
目前企業在進行資安基礎建設投資時,資訊安全服務的比例愈來愈重,電腦與郵件防毒診斷、企業網路規劃與建置、弱點與漏洞評估修補、資料備份、資料復原與資料救援、入侵偵測與入侵防禦系統建置、防火牆規劃等服務,都是企業需要廠商提供如顧問諮詢、產品操作、教育訓練等服務的資安領域。
由於一般中小企業的資訊部門人力配置,很難因應變化萬千的資安趨勢,而且隨著資安風險(包含惡意攻擊與病毒程式等)日益增加,企業基於財務、成本、名聲等考量,促使企業也必須更重視資安解決方案等服務,透過專業服務來面對風險。
整體而言,資訊安全依然是企業軟體市場中,成長最快速的領域,此外,資訊軟體供應商能夠透過不同的銷售管道、新的授權或維護合約等方式增加營收,例如推動軟體即服務(SaaS)、開放原始碼軟體或資訊委外等類型的業務,在風險中保持成長。
在資安產品的市場規模方面,據資策會MIC觀察,2007年至2009年全球前三大資安產品市場規模,依續為供給消費者面向、企業面向的資安產品(兩者均包含防毒軟體、防火牆、反間碟軟體、入侵偵測防禦系統),以及其他類型的資安產品(包含加密軟體、資料庫儲存、網站軟體元件系統)為主。
根據Gartner統計,資安軟體市場的最大宗,仍是家用資訊安全軟體,但小型企業或個人工作室往往也是選購此類產品,因此仍是企業資安的重要市場,2010年營收可望由2009年的39億美元增加到42億美元;排名第2的企業終端防護平台,則預估可由29億美元成長至30億美元。
由於消費者或企業為避免遭遇病毒入侵,或為了保護儲存之資料,已經對安裝防毒軟體與防火牆等安全軟體與防護平台,有了相當高的安全意識,加上病毒軟體業者透過網路提供原版軟體病毒碼更新等服務,使用者採用盜版軟體的意見降低,也讓全球前五大廠商其中的Symantec、McAfee與趨勢科技(Trend Micro),都是以提供防毒產品與相關服務為主。
此外,身分識別和存取管理(Identity and Access Management;IAM)領域亦將有顯著成長,預估至2014年可達到120億美元的規模。
資安管理更是重要
資安問題層出不窮,進而對企業造成各方面的影響。因此企業不但要進行資安投資,更應落實企業的資料備份、備援及災難回復計畫,企業也應訂定內部的政策法規或為維護公司名聲等考量,而規劃危機處理標準流程,才能在資安危機發生時,減少經濟損失。
通常在資安風險發生時,財務損失為首要損失類型,尤其是含有客戶識別資料與信用卡等金融資訊遭竊時,均更會造成企業財務成本的增加。以2009年為例,平均每家企業因資安問題而損失的金額,就高達200萬美元。
因此,基於環境風險威脅的提升與法規政策的複雜化,企業在資訊安全的投資腳步,必須保持穩健成長,才能面對不斷提升的資安威脅。
